Social Engineering Toolkit (SET) – проект Devolution, поставляемый в комплекте с Backtrack в качестве фреймворка, который используется для испытания проникновением (Penetration Testing).
Автор: 3psil0nLaMbDa a.k.a Karthik R, INDIA
Social Engineering Toolkit (SET) – проект Devolution, поставляемый в комплекте с Backtrack в качестве фреймворка, который используется для испытания проникновением (Penetration Testing). Данный фреймворк был написан Дэвидом Кеннэди, известным как ReL1k. Для получения более подробной информации о Social Engineering Toolkit (SET), посетите официальный веб-сайт http://www.social-engineer.org
Для чего я пишу об этом фреймворке?
Что можно ожидать от этой статьи?
Введение
Значение слова Spear (копье) определяется как “оружие, состоящее из металлической части на конце”.
Фишинг означает разновидность мошенничества, при которой мошенник заставляет жертву поверить в подлинность информации, создавая поддельные сайты и выманивая, таким образом, информацию.
Spear-фишинг – специальный тип атаки, нацеленной на определенную жертву, а не на общую массу пользователей. Название появилось из-за аналогии с копьем, способным поразить только одного человека в определенный момент времени. Давайте рассмотрим этот вид атаки с SET.
При выборе пункта 1 в меню, мы видим следующее меню, где я выберу пункт 1. После этого будет выполнена массовая почтовая рассылка. Жертве будет отправлено электронное письмо, нужного мне содержания.
Рисунок 2. Для рассылки доступны различные начинки эксплойтов.
Я выбираю пункт 10 “Custom EXE to VBA (sent via RAR)”. Таким образом, мы отправим жертве вредоносный файл RAR.
Рисунок 3. Различные опции начинок эксплойтов. Также мы можем увидеть, как SET использует расширение Metasploit Meterpreter для получения доступа к удаленной системе.
Как только вы выбрали вид рассылки, необходимо будет ввести адрес e-mail жертвы. Также нужно предоставить данные учетной записи Gmail, так как мы будемиспользовать Gmail для отправки сообщения. Кроме того, существует возможность использования собственного SMTP сервера. Выбор остается за пользователем.
Для рассылки можно выбрать готовые шаблоны. На рисунке 4 показаны шаблоны, доступные для отправки в виде e-mail. Существует возможность создать свой собственный шаблон и сохранить его для дальнейшего использования. Создание своего шаблона имеет одно преимущество: ваше сообщение сможет избежать спам-фильтра и будет доставлено жертве. Таким образом, жертва будет уверена в надежности источника письма.
Рисунок 4. Шаблоны SET. Использование собственного шаблона дает большие шансы уклонения от спам-фильтра.
Атака с веб-сайта:
Рисунок 5. Список опций, доступных в качестве направлений атаки с веб-сайта. Подробней будет рассмотрен метод JAVA апплета.
Tabnabbling – один из методов, при котором вы можете клонировать содержимое всего сайта и перехватывать нажатия клавиш на странице, размещенной на подменном сервере SET. Обычно при переключении вкладок пользователь видит страницу входа и становится жертвой атаки, ничего не подозревая он выдает информацию злоумышленнику . Другие атаки, вроде Metasploit browser exploit, используют уязвимость в браузере и получают полный доступ к системе жертвы. Метод Credential harvester помогает украсть личную информацию жертвы.
Рисунок 6. Выбор JAVA апплета в качестве шаблона.
Мы выбираем шаблон, требующий у пользователя разрешение на запуск JAVA плагина. В последующих меню мы выберем исполняемый файл shikata_ga_nai. Он эффективно уклоняется от антивируса и является достаточно мощным средством для получения управления над системой жертвы.
Рисунок 7. Происходит клонирование содержимого сайта, доступного по IP адресу 192.168.13.128. Также сообщается об успешной работе эксплойта в браузерах IE6, IE7, Safari и Firefox. В этом инструменте мы видим применение Metasploit для получения доступа.
На Рисунке 8 изображено всплывающее окно в браузере при посещении страницы http://192.168.13.128
Данный способ можно использовать для проверки осведомленности сотрудников и стойкости к угрозам социальной инженерии во время испытания проникновением.
Рисунок 8. Всплывающее окно спрашивает разрешение пользователя на запуск JAVA апплета, но когда пользователь нажимает кнопку “OK”, шелл meterpreter получит доступ к машине жертвы.
В данной статье дано краткое описание Social Engineer’s Toolkit (Набор Социального Инженера). В последующих статьях будут рассмотрены различные виды атак. Если у вас есть какие-либо пожелания, касающиеся данной темы, вы можете связаться со мной в любое время.
Подписывайтесь на каналы "SecurityLab" в 
Telegram и 
Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Человек — самое слабое звено в безопасности. Благодаря социальной инженерии злоумышленники получают доступ к конфиденциальным данным и загружают в корпоративные системы вредоносные объекты. Но как именно это происходит и какие инструменты используются?
Введение
Обращаем внимание, что статья написана исключительно в ознакомительных целях и не призывает читателей к противоправным действиям!
Для начала стоит объяснить, что же такое социальная инженерия. Это метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Главной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Прежде всего, хочется познакомить читателей, пожалуй, с одним из самых мощных и универсальных инструментов, можно даже назвать его «швейцарским ножом» социальной инженерии. Называется он Social-Engineer Toolkit (SET), на рисунке показан его общий вид.
Рисунок 1. Общий вид инструмента Social-Engineer Toolkit
Знакомство с Social-Engineer Toolkit
Социально-технические атаки
Раздел включает в себя список векторов для атак:
- Векторы атаки веб-сайтов
- Инфекционный медиагенератор
- Создание полезной нагрузки и слушателя
- Массовая атака
- Вектор атаки на основе Arduino
- Вектор атаки беспроводной точки доступа
- Вектор атаки генератора QRCode
- Векторы атаки Powershell
- Сторонние модули
Сам раздел может работать в нескольких направлениях, начиная от создания и внедрения вредоносных нагрузок, массовых атак, атак на различные точки Wi-Fi, генерации QR-кода и прочее.
Рисунок 2. Разделы социально-технической атаки в Social-Engineer Toolkit
Раздел векторы веб-сайтов подразделяется на методы:
- Метод внедрения Java
- Метод использования браузера Metasploit
- Метод атаки на харвестерМетод атаки таббата
- Метод атаки веб-гейдинга
- Многопользовательский веб-метод
- Полноэкранный метод атаки
- Метод атаки HTA
Тут методы атак разделяются на разделы, начиная от внедрения и создания внутри java, использования уже готовых метасплоитов для фишинга, сбора данных, многопользовательских методов атак на выбор; имеется возможность использовать и все вместе — все зависит от фантазии злоумышленника.
Рисунок 3. Методы атак социально-технического раздела
Немного практики, или Как они это делают?
Предположим, злоумышленнику необходимо собрать данные о конкретной жертве, узнать логины, пароли и иметь доступ ко всей переписке. Значит, для этого он использует метод атаки на харвестер (то есть на сбор информации). Киберпреступник поступает следующим образом: выбирает пункт Social-Engineering Attacks (Социально-технические атаки), затем — Website Attack Vectors (Векторы веб-сайтов), после этого — Credential Harvester Attack Method (Способ атаки на харвестер). Появится три пункта меню: 1) Шаблоны веб сайтов; 2) Клонирование сайтов; 3) Пользовательский импорт.
Рисунок 4. Харвестерный тип выбор вектора атаки
Дальше злоумышленник узнает тип своего сетевого адреса, так как Social-Engineer Toolkit будет знать, куда перенаправлять всю собранную информацию. Для этого вводится команда ifconfig. В данном случае это адрес 192.168.0.20 (IP-адрес, присваиваемый вашему интерфейсу) — его злоумышленник будет клонировать и в дальнейшем атаковать. Пример с социальной сетью ВКонтакте показан ниже на рисунке.
Рисунок 5. Ввод сетевого адреса и клонирование сайта для атаки
После завершения конфигурации злоумышленник использует стандартный сервис для конвертирования ссылки и отправляет ее жертве. Обычно присылается ссылка на фото или интересный контент от имени друга или коллеги. После перехода по ссылке пользователь видит знакомый интерфейс. Однако посмотрев в адресную строку, можно обратить внимание, что вместо привычного адреса там указан тот самый 192.168.0.20. Из-за невнимательности многие попросту не обращают на это внимание и вводят свои логин и пароль.
Рисунок 6. Вид поддельной страницы
После ввода своих конфиденциальных дынных система предлагает жертве зайти позже, якобы произошел какой-то сбой или пара логин-пароль не распознается. Что же тем временем видит злоумышленник? Логин и пароль, которые ввела жертва. Тем самым он заполучил полный доступ и теперь может вводить логин и пароль ничего не подозревающего пользователя на сервисе, под его профилем входить в его аккаунт и совершать в нем все, что захочет.
Рисунок 7. Конечный результат — злоумышленник получает логин и пароль жертвы
Не исключено, что последние события, связанные с утечкой персональных данных сотрудников Сбербанка, имели место благодаря этому инструменту. Он отлично подходит для такого типа атаки, и с его помощью можно также проводить массовую рассылку клиентам Сбербанка от лица сотрудников, чья база уже находится в руках злоумышленников. В целом, Social-Engineer Toolkit — мощный инструмент, которому пока нет равных. В более ранних версиях была функция отправки SMS от имени любого абонента и любой организации, но позже разработчики отключили модуль. И если бы он действовал в настоящее время, то проникновение в систему было бы намного легче, поскольку SMS-подтверждение как дополнительная защита сейчас распространено. Надолго ли отключена опция и какие модификации будут в будущем к инструменту — пока неизвестно.
Выводы
Метод социальной инженерии — это тонкое искусство. Овладев им, можно быть уверенным, что желаемый результат будет получен в 90-95% — все зависит от сообразительности злоумышленника и от подхода к определенной жертве. Как правило, на эту удочку попадаются невнимательные люди, которые не так требовательны к собственной безопасности и редко обращают внимание на малозначительные на первый взгляд детали (ссылка в браузерной строке, текст и прочее). Правда, надо признать, что опытные пользователи тоже попадаются на это, хотя и реже.
Как же избежать подобных неприятностей? Если вы используете социальные сети для общения, то обязательно кроме ввода логина и пароля используйте двухфакторную аутентификацию, тем самым вы создадите сложность злоумышленнику для проникновения в ваш профиль.
Внимательно смотрите на ссылку в браузерной строке — как правило, она очень схожа с оригиналом, разница в паре букв или цифр. Так что невнимательный пользователь может и не заметить обмана. Всегда лучше перепроверить, если имеется возможность: как правило, официальные сайты подлинных организаций находятся на самой первой строке поисковых систем. Если вам пришла подозрительная ссылка или просьба от друга, подруги, коллеги, то не поленитесь связаться с адресатом другим способом и уточнить, он ли ее прислал. Берегите себя и свои данные!
Sergei webware
Поговорим о том, как взламывать Facebook. Данное руководство должно расширить ваши знания о сетях, а также дать вам представление о том, как создаются поддельные веб-страницы, чтобы вы могли защититься от подобных атак. Не пытайтесь использовать эту информацию для взлома чужой учётной записи, иначе можете столкнуться с судебным иском. Если вы не читали предыдущий пост, сделайте это. Он не только познакомит вас с техническим подробностями, но и подготовит к тому, чем мы сейчас займёмся.
Набор инструментов социальной инженерии
Набор инструментов социальной инженерии (SET) был придуман и написан основателем TrustedSec. Это открытый проект на языке Python, направленный на испытания проникновением с использованием методов социальной инженерии. SET был представлен на крупных конференциях, включая Blackhat, DerbyCon, Defcon и ShmooCon. Сегодня этот набор, число загрузок которого превысило два миллиона, является стандартным инструментом для тестирования проникновением с использование социальной инженерии и поддерживается всем сообществом по сетевой безопасности.
Мне не стоило бы упоминать об этом, но я всё равно это сделаю. Для данного руководства вам понадобится Kali Linux. В верхней части этой страницы вы найдёте ссылку на полное руководство по Kali Linux. Впрочем, лучше я дам её прямо здесь — Kali Linux: Что это такое, и как её установить.
Запустите Kali Linux. В консоли/терминале введите команду
# se-toolkit
[-] New set_config.py file generated on: 2014-05-26 08:26:33.526119
[-] Verifying configuration update.
[*] Update verified, config timestamp is: 2014-05-26 08:26:33.526119
[*] SET is using the new config, no need to restart
_______________________________
/ _____/\_ _____/\__ ___/
\_____ | __)_ | |
/ | | |
/_______ //_______ / |____|
/ /
[—] The Social-Engineer Toolkit (SET) [—]
[—] Created by: David Kennedy (ReL1K) [—]
[—] Version: 4.3.9 [—]
[—] Codename: ‘Turbulence’ [—]
[—] Follow us on Twitter: @trustedsec [—]
[—] Follow me on Twitter: @dave_rel1k [—]
[—] Homepage:
[—]
Welcome to the Social-Engineer Toolkit (SET). The one
stop shop for all of your social-engineering needs.
Join us on irc.freenode.net in channel #setoolkit
The Social-Engineer Toolkit is a product of TrustedSec.
Visit:
Select from the menu:
1) Social-Engineering Attacks
2) Fast-Track Penetration Testing
3) Third Party Modules
4) Update the Metasploit Framework
5) Update the Social-Engineer Toolkit
6) Update SET configuration
7) Help, Credits, and About
99) Exit the Social-Engineer Toolkit
set>
Теперь введите следующие команды, нажимая Enter после каждой из них.
1 [enter] 2 [enter] 3 [enter]
Объяснение
- Цифра 1 выбирает «Атаки с применением социальной инженерии». Очевидный выбор, если вы прочитаете другие опции от 1 до 9 (и 99 для выхода)
- Цифра 2 выбирает «Векторы атаки веб-сайта». Здесь всё уже не так очевидно. Модуль веб-атаки — уникальный способ использования нескольких веб-атак с целью скомпрометировать намеченную жертву.
- Ну а цифра 3 выбирает «Сборщик учётных данных». Сбор учётных данных осуществляется посредством клонирования веб-сайта, на котором есть форма входа с логином и паролем. Кроме этого, данная методика позволяет перехватить всю информацию, которую пользователь публикует на сайте.
The first method will allow SET to import a list of pre-defined web
applications that it can utilize within the attack.
The second method will completely clone a website of your choosing
and allow you to utilize the attack vectors within the completely
same web application you were attempting to clone.
The third method allows you to import your own website, note that you
should only have an index.html when using the import website
functionality.
1) Web Templates
2) Site Cloner
3) Custom Import
99) Return to Webattack Menu
Введите 2, чтобы выбрать инструмент клонирования сайтов.
Найдите свой IP
В новом окне терминала выполните команду ifconfig. Так вы узнаете свой ipv4 адрес, который нам и нужен.
Вернёмся к se-toolkit
Теперь утилита попросит вас указать IP адрес, на который будут отправлены данные. Это ваш IP адрес. Поскольку мы используем ваш внутренний IP адрес (так же известен, как локальный IP), поддельная страничка facebook будет работать только для компьютеров, подключённых к вашей локальной сети.
Далее нужно указать адрес клонируемой страницы. Введите https://www.facebook.com/.
set:webattack>2
[-] Credential harvester will allow you to utilize the clone capabilities within SET
[-] to harvest credentials or parameters from a website as well as place them into a report
[-] This option is used for what IP the server will POST to.
set:webattack> IP address for the POST back in Harvester/Tabnabbing:192.168.154.133
[-] SET supports both HTTP and HTTPS
[-] Example:
set:webattack> Enter the url to clone:https://www.facebook.com/
Теперь запустите браузер в Kali Linux и введите в адресную строку свой IP. На экране появится страница входа facebook. Ведите в текстовые поля любые данные и попытайтесь войти на сайт. Эта информация сразу появится в окне se-toolkit. Если вы используете VMWare или virtualbox попробуйте ввести тот же IP адрес в браузер внутри виртуальной машины. Ваша поддельная страничка будет работать и там.
Чтобы убедиться в том, что данная демонстрация — не просто повторение того, что вы уже знаете, я решил скопировать страницу входа facebook, вместо главной страницы. Она выглядит немного по-другому. Вот скриншот моих действий.
IP адрес, который вы видите на изображении — это мой внутренний адрес, полученный с помощью ifconfig. В данном случае 192.168.154.133. Адрес клонируемой страницы — https://www.facebook.com/login.php. Теперь посмотрим, справляется ли со своей работой сборщик учётных данных.
На самой машине с Kali Linux
Ввод IP в браузер приводит к отображению поддельной страницы входа. Вдобавок к этому, se-toolkit регистрирует визит и сообщает 192.168.154.133 — — [27/May/2014 02:32:32] "GET / HTTP/1.1" 200 —
Если мы введём что-нибудь в текстовые поля, эта информация тоже будет передана se-toolkit. Я ввёл «hackingwithkalilinux» в поле для имени пользователя и «password» в поле пароля. Вот что показывает se-toolkit:
Обратите внимание, что se-toolkit может продолжить вывод данных в консоль. Но большая их часть для нас пока не важна.
На машине с Windows 8 (хост)
Теперь я запустил Kali на виртуальной машине, которая работает на компьютере под управлением Windows 8. Посмотрим, сработает ли наш метод взлома в этой ситуации. Кроме этого, мы узнаем, способны ли современные браузеры указать пользователю на то, что страница является поддельной, и посмотрим, заблокирует ли брандмауэр передачу данных.
Я ввёл «windows8хост» и «пароль2», а затем нажал на кнопку входа. Вот что из этого вышло. А поскольку я уже был авторизован в данном браузере на Facebook, поддельная страничка перенаправила меня на оригинальный сайт.
Вывод: Данный метод отлично работает в пределах локальной сети.
Заставьте его работать через интернет
Для того чтобы эти техника начала работать через интернет, вам придётся использовать свой публичный IP адрес вместо частного. Узнайте свой публичный IP адрес с помощью Google, а затем воспользуйтесь им. Мы можете прибегнуть к помощи tinyurl или другого подобного сервиса, чтобы замаскировать url. В некоторых случаях придётся включить переадресацию портов, поскольку ваш маршрутизатор может блокировать трафик на 80 порте. Брандмауэр тоже может стать источником проблем. В следующем посте мы выведем ваш сборщик учётных данных в интернет и завершим данное руководство, сделав его полезным с практической точки зрения.